Izin dan peran

Storage Transfer Service menggunakan izin dan peran Identity and Access Management (IAM) untuk mengontrol siapa yang dapat mengakses resource Storage Transfer Service. Jenis utama resource yang tersedia di Storage Transfer Service adalah tugas, operasi, dan kumpulan agen. Dalam hierarki kebijakan IAM, tugas adalah resource turunan dari project, dan operasi adalah resource turunan dari tugas.

Untuk memberikan akses ke resource, Anda menetapkan satu atau beberapa izin atau peran kepada pengguna, grup, atau akun layanan.

Izin

Anda dapat memberikan izin Storage Transfer Service berikut:

Mentransfer izin project

Izin Deskripsi
storagetransfer.projects.getServiceAccount Dapat membaca GoogleServiceAccount yang digunakan oleh Storage Transfer Service untuk mengakses bucket Cloud Storage.

Mentransfer izin tugas

Tabel berikut menjelaskan izin untuk tugas Storage Transfer Service:

Izin Deskripsi
storagetransfer.jobs.create Dapat membuat tugas transfer baru.
storagetransfer.jobs.delete Dapat menghapus tugas transfer yang ada.

Tugas transfer dihapus dengan memanggil fungsi patch. Namun, pengguna harus memiliki izin ini saat menghapus tugas transfer untuk menghindari error izin.
storagetransfer.jobs.get Dapat mengambil tugas tertentu.
storagetransfer.jobs.list Dapat mencantumkan semua tugas transfer.
storagetransfer.jobs.run Dapat menjalankan semua tugas transfer.
storagetransfer.jobs.update Dapat memperbarui konfigurasi tugas transfer tanpa menghapusnya.

Izin operasi transfer

Tabel berikut menjelaskan izin untuk operasi Storage Transfer Service:

Izin Deskripsi
storagetransfer.operations.assign Digunakan oleh agen transfer untuk menetapkan operasi.
storagetransfer.operations.cancel Dapat membatalkan operasi transfer.
storagetransfer.operations.get Dapat mendapatkan detail operasi transfer.
storagetransfer.operations.list Dapat mencantumkan semua operasi tugas transfer.
storagetransfer.operations.pause Dapat menjeda operasi transfer.
storagetransfer.operations.report Digunakan oleh agen transfer untuk melaporkan status operasi.
storagetransfer.operations.resume Dapat melanjutkan operasi transfer yang dijeda.

Izin kumpulan agen transfer

Tabel berikut menjelaskan izin untuk kumpulan agen transfer sistem file:

Izin Deskripsi
storagetransfer.agentpools.create Dapat membuat kumpulan agen.
storagetransfer.agentpools.update Dapat memperbarui kumpulan agen.
storagetransfer.agentpools.delete Dapat menghapus kumpulan agen.
storagetransfer.agentpools.get Dapat memperoleh informasi tentang kumpulan agen tertentu.
storagetransfer.agentpools.list Dapat mencantumkan informasi untuk semua kumpulan agen dalam project.
storagetransfer.agentpools.report Digunakan oleh agen transfer untuk melaporkan status.

Peran yang telah ditetapkan

Bagian ini menjelaskan peran yang telah ditentukan sebelumnya untuk Storage Transfer Service. Peran adalah cara yang lebih disukai untuk menetapkan izin IAM.

Perbandingan peran

Anda dapat menetapkan peran project atau peran Storage Transfer Service standar berikut:

Kemampuan Editor (roles/editor) Transfer Penyimpanan (roles/storagetransfer.)
Admin (admin) Pengguna (user) Viewer (viewer)
Mencantumkan/mendapatkan tugas
Membuat tugas
Menjalankan tugas
Memperbarui tugas
Menghapus tugas
Mencantumkan/mendapatkan operasi transfer
Menjeda/melanjutkan operasi transfer
Membaca detail akun layanan Google yang digunakan oleh Storage Transfer Service untuk mengakses bucket Cloud Storage.
Mencantumkan kumpulan agen
Membuat kumpulan agen
Memperbarui kumpulan agen
Menghapus kumpulan agen
Mendapatkan kumpulan agen
Membaca atau menyetel bandwidth project

Detail peran

Tabel berikut menjelaskan secara mendetail peran yang telah ditetapkan untuk Storage Transfer Service:

Peran Deskripsi Izin yang Disertakan
Storage Transfer Admin
(roles/storagetransfer.
admin)

Memberikan semua izin Storage Transfer Service, termasuk menghapus tugas.

Alasan: Ini adalah peran tingkat tertinggi dengan tanggung jawab terluas, yaitu pengguna super yang mendukung rekan kerjanya saat mereka melakukan transfer. Opsi ini paling cocok untuk orang yang akan mengelola transfer, seperti admin IT.

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storagetransfer.*
Pengguna Storage Transfer
(roles/storagetransfer.
user)

Memberikan izin bagi pengguna untuk membuat, mendapatkan, memperbarui, dan mencantumkan tugas transfer dalam project. Namun, mereka tidak dapat menghapus tugas mereka sendiri.

Alasan: Peran ini memungkinkan pemisahan pembuatan dan pemeliharaan tugas dari penghapusan tugas. Peran ini paling cocok untuk pengguna yang harus menjalankan transfer sebagai bagian dari fungsi pekerjaan mereka, seperti karyawan. Peran ini tidak mengizinkan transfer dihapus, sehingga auditor atau personel keamanan dapat melihat catatan transfer sebelumnya yang sepenuhnya dipertahankan.

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storagetransfer.agentpools.create
  • storagetransfer.agentpools.get
  • storagetransfer.agentpools.list
  • storagetransfer.agentpools.report
  • storagetransfer.agentpools.update
  • storagetransfer.jobs.create
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.jobs.run
  • storagetransfer.jobs.update
  • storagetransfer.operations.*
  • storagetransfer.projects.getServiceAccount
Storage Transfer Viewer
(roles/storagetransfer.
viewer)

Memberikan izin untuk mencantumkan dan mendapatkan tugas serta operasi transfer dalam project. Pengguna tidak dapat menjadwalkan, memperbarui, atau menghapus tugas.

Alasan: Peran pelihat ditujukan untuk akses hanya baca guna melihat tugas dan operasi transfer. Peran ini memungkinkan pemisahan tugas pelaporan dan audit dari pembuatan dan pemeliharaan tugas. Peran ini paling cocok untuk pengguna atau tim internal yang mengaudit penggunaan transfer, seperti pemimpin unit bisnis, kepatuhan, atau keamanan.

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storagetransfer.agentpools.get
  • storagetransfer.agentpools.list
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.operations.get
  • storagetransfer.operations.list
  • storagetransfer.projects.getServiceAccount
Storage Transfer Agent (roles/storagetransfer.transferAgent)

Memberi agen transfer izin Storage Transfer Service yang diperlukan untuk menyelesaikan transfer.

Mulai 1 Mei 2024, izin `pubsub` tidak lagi diperlukan.

Berikan peran ini kepada pengguna atau akun layanan yang digunakan oleh agen.

  • monitoring.timeSeries.create
  • storagetransfer.operations.get
  • storagetransfer.operations.report
  • storagetransfer.operations.assign
  • storagetransfer.agentpools.report
  • pubsub.topics.create
  • pubsub.topics.get
  • pubsub.topics.list
  • pubsub.subscriptions.create
  • pubsub.subscriptions.get
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.consume
  • pubsub.topics.attachSubscription
  • pubsub.topics.publish
Agen Storage Transfer Service (roles/storagetransfer.serviceAgent)

Memberi agen layanan Storage Transfer Service izin yang diperlukan untuk membuat dan mengubah topik Pub/Sub untuk berkomunikasi dari Google Cloud ke agen transfer.

Berikan peran ini kepada agen layanan Storage Transfer Service.

  • pubsub.subscriptions.consume
  • pubsub.subscriptions.create
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.get
  • pubsub.subscriptions.update
  • pubsub.topics.attachSubscription
  • pubsub.topics.create
  • pubsub.topics.delete
  • pubsub.topics.get
  • pubsub.topics.publish
  • pubsub.topics.update

Peran khusus

Anda dapat membuat dan menerapkan peran IAM kustom untuk memenuhi persyaratan akses organisasi Anda.

Saat membuat peran khusus, sebaiknya gunakan kombinasi peran bawaan untuk memastikan izin yang benar disertakan bersama-sama.

Konsol Google Cloud tidak akan berfungsi dengan baik jika peran khusus tidak memiliki izin yang diperlukan. Misalnya, beberapa bagian Google Cloud konsol mengasumsikan bahwa peran memiliki akses baca untuk menampilkan item sebelum mengeditnya, sehingga peran dengan hanya izin tulis dapat menemukan layar konsol Google Cloud yang tidak berfungsi.